Internet-Law

Onlinerecht und Bürgerrechte 2.0

25.1.12

SPD-Gesetzesentwurf: Cookies nur noch mit Einwilligung

Ein Gesetzesentwurf der Bundestagsfraktion der SPD vom 24.01.2012 sieht vor, in das Telemediengesetzes (TMG) in § 13 folgenden Absatz 8 einzufügen:

(8) Die Speicherung von Daten im Endgerät des Nutzers und der Zugriff auf Daten, die im Endgerät des Nutzers gespeichert sind, sind nur zulässig, wenn der Nutzer darüber entsprechend Absatz 1 unterrichtet worden ist und er hierin eingewilligt hat. Dies gilt nicht, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist, oder wenn dies unbedingt erforderlich ist, um einen vom Nutzer ausdrücklich gewünschten elektronischen Informations- oder Kommunikationsdienst zur Verfügung stellen zu können.

Durch diese Neuregelung soll die E-Privacy-Richtlinie umgesetzt werden. Der Vorschlag der SPD ähnelt in diesem Punkt einem Gesetzesentwurf des Bundesrates.

Dass ich eine derartige Regelung kritisch sehe, weil die inflationäre Zunahme von Pop-Up-Fenstern zu befürchten steht, hatte ich bereits erläutert. Ob auf diese Weise tatsächlich eine Erhöhung des Datenschutzniveaus erreicht werden kann, darf bezweifelt werden. Vielmehr ist zu erwarten, dass die User aufpoppende Fenster schlicht genervt wegklicken werden, was der Vorstellung einer datenschutzrechtlichen Einwilligung, die auf einer ausreichenden Information beruht, letztlich eher zuwider läuft.

Die wesentliche Frage, unter welchen Voraussetzungen eine Ausnahme von der Einewilligungslösung gemacht werden kann, weil die Verwendung von Cookies unbedingt erforderlich ist, um einen vom Nutzer ausdrücklich gewünschten Dienst zu erbringen, beantwortet die Entwurfsbegründung der SPD freilich nicht. Wäre beispielsweise die Verwendung von Session-Cookies oder gar permanenten Cookies in Onlineshops unbedingt erforderlich, um den Shop betreiben zu können? Die Gesetzgebungstechnik der SPD-Fraktionn bedingt, dass diese zentrale Frage einmal mehr den Gerichten überlassen wird.

posted by Stadler at 11:34  

21.10.11

Wissenschaftlicher Dienst des Bundestages zu Facebook-Like-Button

Der wisenschaftliche Dienst des Bundestages hat ein Rechtsgutachten zur Frage der Verletzung datenschutzrechtlicher Bestimmungen durch Facebook Fanpages und Social-Plugins verfasst und sich hierbei insbesondere mit dem Vorgehen des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein gegen Webseitenbetreiber und Betreiber von Facebook-Like-Seiten befasst.

Das Gutachten ist interessanter Weise ebenfalls der Meinung, dass das ULD für die Verhängung von Bußgeldern überhaupt nicht zuständig ist. Im übrigen ist der wissenschaftliche Dienst der Ansicht, dass das ULD zwar weitgehend vertretbare Rechtsansichten geäußert hat, die allerdings äußerst umstritten und gerichtlich ungeklärt sind. Von einem eindeutigen Verstoß kann nach Ansicht des wissenschaftlichen Dienstes deshalb derzeit nicht ausgegangen werden.

Das ist im Ergebnis keine wirkliche Überraschung, wenngleich das Gutachten im Vergleich zu anderen juristischen Stellungnahmen ohnehin noch eher ULD-freundlich ausfällt.

Zu knapp ist m.E. allerdings die Erörterung der zentralen Frage ausgefallen, ob der Webseitenbetreiber, der den Like-Button bei sich einbindet, tatsächlich als verantwortliche Stelle im Sinne des Datenschutzrechts zu betrachten ist. Das ist nämlich äußerst zweifelhaft, wie ein Gastbeitrag von Stephan Schmidt in meinem Blog darstellt.

In der Rechtswissenschaft beginnt außerdem gerade die Diskussion über die grundlegende Reformbedürftigkeit des deutschen Datenschutzrechts, dessen Schieflage ich vor einiger Zeit schon einmal dargestellt hatte.

posted by Stadler at 17:30  

6.10.11

Privacy by Default?

Die Verbraucherzentrale Bundesverband (vzbv) hat vor einigen Tagen eine Onlinepetition zum Petitionsausschuss des Bundestages gestartet, mit der folgende Forderung erhoben wird:

“Der Deutsche Bundestag möge in den Datenschutzgesetzen regeln, dass die Grundeinstellungen von Produkten und Diensten so zu gestalten sind, dass so wenig personenbezogene Daten wie möglich erhoben oder verarbeitet werden.”

Interessant daran finde ich zunächst, dass auch Organisationen wie die vzbv das Mittel der Onlinepetition für sich entdeckt haben. Obwohl dieses Instrumentarium kaum geeignet ist, auf legislativer Ebene etwas zu bewegen, wird sein Einsatz immer beliebter. Letztlich geht es aber wie bei anderen Onlinepetitionen nur darum, Aufmerksamkeit zu erzeugen und Berichterstattung zu erreichen, denn der Petitionsausschuss als solcher kann und wird nichts bewirken.

Auch wenn die Forderung der vzbv nach “Privacy By Default” auf den ersten Blick vernünftig klingt, muss man sie aus zwei Gründen für problematisch halten.

Die Formulierung ist zunächst in dieser Form deutlich zu unbestimmt. Was sind Produkte und Dienste? Zu den Diensten im Sinne des TMG und des RStV zählen alle möglichen Internetangebote von der normalen Website, über den Onlineshop bis hin zum Blog. Nachdem zusätzlich von Produkten die Rede ist, soll der Anwendungsbereich wohl noch darüber hinaus gehen. Dass damit also spezifisch soziale Medien wie Facebook angesprochen würden, ist nicht ersichtlich.

Wenn wir allerdings  tatsächlich speziell von Facebook und Co. reden, muss man sich außerdem darüber im Klaren sein, dass die Grundeinstellungen von Facebook, deren Datenschutzbestimmungen sowie die Praxis Facebooks, Daten nicht ohne weiteres mehr löschen zu können, ohnehin nicht mit dem geltenden Datenschutzrecht vereinbar ist. Der Grund dafür, dass sich bislang nichts geändert hat, resultiert aus einem Vollzusgdefizit des deutschen und europäischen Datenschutzrechts.

Wieso sollte man also annehmen, dass neue gesetzliche Regelungen alleine dazu führen werden, dass sich Facebook gesetzeskonform verhalten wird, wenn dies bislang auch nicht der Fall war? Am grundlegenden Problem der fehlenden Durchsetzung des Datenschutzrechts ändert sich durch zusätzliche gesetzliche Vorgaben jedenfalls nichts.

Kritisiert wird der Verstoß der vzbv übrigens auch vom Branchenverband BITKOM. Ob dessen Einwände stichhaltig sind, kann jeder selbst beurteilen.

Das Grundproblem von kostenlosen sozialen Medien wie Facebook oder Google+ besteht darin, dass der Anbieter seine Einnahmen mit den Daten der Nutzer erzielt. Dafür muss er Nutzer- bzw. Bewegungsprofile erstellen, die es ihm ermöglichen, gezielt zu werben oder gar Daten an Drittfirmen zu verkaufen. Letzteres wird offiziell freilich stets bestritten. Die Verkehrsdaten der Nutzer sind letztlich zentraler Bestandteil des Geschäftsmodells von Facebook und Google+.

Vor diesem wirtschaftlichen Hintergrund wird es auch in Zukunft schwierig sein, von Wirtschaftsunternehmen zu erwarten, dass sie eine kostenlose Dienstleistung erbringen und gleichzeitig auf jede Form des Trackings verzichten. Die Alternativen sind entweder bezahlte Mitgliedschaften, für die es keine ausreichende Nutzerakzeptanz gibt, oder altruistisch geführte Social-Media-Plattformen.

Solange die Anbieter aber Facebook oder Google heißen und wir uns als Nutzer auf deren Plattformen bewegen wollen, wird sich im Ergebnis wenig ändern. Facebook und Google werden immer versuchen, mit den Behörden zu kooperieren bzw. diesen Anschein erwecken. Alles was sie anzubieten haben, sind aber Scheinlösungen, weil sie andernfalls ihr Geschäftsmodell preisgeben müssten.

 

posted by Stadler at 13:31  

29.8.11

Kritik und Zustimmung für das ULD in der Causa Facebook

Das Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD) veranstaltet gerade seine Sommerakademie unter dem zweifellos nicht selbstkritisch gemeinten Titel “Optimierte Verantwortung/slosigkeit Wer verantwortet eigentlich was in unserer smarten“ Welt?”.

Das passt thematisch jedenfalls ganz gut zu der immer noch tobenden Diskussion um das Vorgehen des ULD gegen Webseitenbetreiber und Unternehmer die den Facebook Like-Button verwenden bzw. auf Facebook eine sog. Fanseite betreiben.

Auch wenn sich weitere Datenschutzbehörden hinter das ULD gestellt haben, überwiegt in juristischer Hinsicht bislang eher die Kritik. Eine (unvollständige) Übersicht der juristischen Stellungnahmen:


    posted by Stadler at 11:57  

    22.8.11

    Wie geht es weiter mit dem Datenschutz?

    Die Aufforderung des ULD (Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein) an Webseitenbetreiber ihre Facebook-Like-Buttons zu entfernen und auch Fanpages auf Facebook zu löschen, hat zu unterschiedlichen Reaktionen geführt. Möglicherweise wendet das ULD das geltende Recht falsch an, wie Stephan Schmidt in einem Gastbeitrag in meinem Blog nachvollziehbar darstellt. Andere sind der Meinung, dass das ULD nur seinen Job macht, während das eigentliche Problem die Politik sei. Die neu gegründete Lobbyorganisation “Digitale Gesellschaft” schreibt in ihrem Blog dazu:

    Dass das ULD nicht direkt an Facebook herantreten kann, ist das Verschulden der Politik: die Durchsetzung von Datenschutzrecht auf internationaler Ebene ist trotz aller Sonntagsreden von Innen- und Verbraucherschutzministern bislang kein bisschen verbessert worden. Das ULD macht nun schlicht seinen Job: es übt indirekt Druck auf Facebook aus, weil das richtige Instrumentarium für andere Wege fehlt. Wer durch Facebooks ignorante Haltung und das Versagen der Politik am Ende doof da steht, ist der einfache Nutzer, der sich um solche Details einfach nicht kümmern müssen sollte.

    Eine Ansicht die eher kurz springt. Denn wir haben es mit einer Reihe von Problemen zu tun, für die man Politik und professionelle Datenschützer, insbesondere die Datenschutzbeauftragten des Bundes und der Länder, gleichermaßen verantwortlich machen muss. Dass die einen nur ihren Job machen, während die anderen versagt haben, ist ein zu einfaches Erklärungsmuster, das die Realität nicht abbildet.

    Im Ausgangspunkt gilt es zu erkennen, dass wir mit einem Datenschutzrecht agieren, das aus den siebziger und achtziger Jahren stammt, und das, trotz zahlreicher Änderungen und trotz einer Datenschutzrichtlinie der EU, strukturell im 20 Jahrhundert stehen geblieben ist.

    Das Bundesdatenschutzgesetz (BDSG) funktionierte in einer Zeit, als es praktisch nur Großrechner und große Rechenzentren gab, ganz ordentlich. Es ist allerdings konzeptionell von der Vorstellung einer zentralen Datenverarbreitung in Rechenzentren geprägt. Mit der dezentralen Struktur des Internets ist es überfordert. Das deutsche und europäische Datenschutzrecht geht letztlich von einem falsch gewordenen Grundansatz aus. Vielleicht entspricht die Art und Weise wie Datenverarbeitung im Netz funktioniert und wie die Prozesse dort ablaufen, auch überhaupt nicht der tradierten Vorstellung von Datenschutz, gleichwohl ist sie längst unumkehrbare Realität.

    Man hat in den letzten 10 bis 15 Jahren kaum (sinnvolle) Versuche unternommen, das Datenschutzrecht zeitgemäß zu erneuern. Auch die §§ 13 ff. TMG enthalten bestenfalls fragmentarische Regelungen. Zum Teil gab es sogar Neuregelungen, wie diejenige zur Auftragsdatenverarbeitung, die anachronistische Züge aufweisen und die im Falle ihrer konsequenten Anwendung das Cloud-Computing und selbst das Hosting in Frage stellen müssten.

    In einem lesenswerten Beitrag von Adrian Schneider auf Telemedicus wird das Grundproblem sehr treffend auf den Punkt gebracht:
    Die technischen Abläufe lassen sich mittlerweile nur noch mit gehöriger juristischer Akrobatik vom Gesetz erfassen. Gleichzeitig ist die Realität im Netz eine völlig andere, als das Idealbild des Datenschutzes: Fast jede Webseite bindet irgendwelche externen Daten ein.

    Das führt letztlich dazu, dass selbst Datenschutzbeauftragte über das Recht stolpern, dessen Einhaltung sie zu überwachen haben. Hinzu kommt, dass Lösungen, die von Landesdatenschutzbeauftragten als datenschutzkonform gepriesen werden, u.U. sogar zu einem Mehr an Datenerhebung führen, gegenüber dem was man ursprünglich beanstandet hatte. Die professionellen Datenschützer haben sich verlaufen, bei dem Versuch, ein Rechtsregime auf Sachverhalte anzuwenden, die sich deutlich von denen unterscheidet, für die es ursprünglich geschaffen wurde.

    Das geltende Datenschutzrecht ist über Jahrzehnte hinweg maßgeblich von den professionellen Datenschützern bestimmt und mitgestaltet worden. Der Bundesdatenschutzbeauftragte, die Landesbeauftragten und die Art. 29-Gruppe der EU machen in diesem Bereich Politik. Sie sind keinesfalls bloße Rechtsanwender. Die Aussage, dass die Datenschützer nur ihren Job machen, während die Politik versagt hat, verkennt die Realitäten. Das geltende Recht ist nämlich gerade auch wegen des Einflusses der Datenschützer so wie es ist.

    Die Politiker und die Datenschutzbeauftragten verweigern sich der Einsicht, dass das geltende Datenschutzrecht im Internet weitgehend nicht mehr funktioniert und seine konsequente Anwendung dazu führen würde, dass deutsche Nutzer noch nicht einmal eine Website bei einem Massenhoster unterhalten könnten. Das Netz funktioniert in Europa nur deshalb noch weitgehend reibungslos, weil sich die meisten Akteure in stillschweigendem Einvernehmen entschlossen haben, das geltende Datenschutzrecht zumindest in Teilen zu ignorieren.

    Das vielleicht noch größere Problem besteht darin, dass sich das deutsche und europäische Datenschutzrecht faktisch nicht weltweit durchsetzen lässt. Das weltweite Netz wird sich nicht insgesamt den europäischen Datenschutzmaßstäben unterwerfen. Eine solche Annahme ist illusorisch. Das ULD versucht deshalb auch erst gar nicht, Facebook direkt anzugehen, obwohl das deutsche Datenschutzrecht durchaus auch für US-Anbieter Geltung beansprucht, sondern geht stattdessen auf deutsche Webseitenbetreiber los. Das dahinterstehende Konzept den Sack zu schlagen, obwohl man den Esel meint, ist in gewisser Weise symptomatisch.

    Wenn die skizzierte Schieflage des Datenschutzrechts und ihrer Anwendung beseitigt werden soll, wird es nötig sein, einige heilige Kühe zu schlachten. Die Alternative besteht darin, wie bisher mit einem praxisuntauglichen Datenschutzrecht weiter zu machen, das zwangsläufig missachtet wird. Lösungen, die auch in der Praxis funktionieren sind ohne Modifikation und teilweise Absenkung des bisherigen Datenschutzniveaus nicht möglich. Das wäre aber im Ergebnis weniger gravierend, als eine dauerhafte Beibehaltung des seit längerem bestehenden Vollzugsdefizits.

    Die aktuelle Diskussion findet bislang noch in schwarz-weiß statt. Es stehen sich Hardcore-Datenschützer und Apologeten der Post-Privacy gegenüber. Die Position der einen Seite ist wirklichkeitsfremd und die der anderen Seite gefährlich nah an totalitären Ideen. Es ist deshalb höchste Zeit, etwas Farbe ins Spiel zu bringen. Dies setzt allerdings einen Bewusstseinswandel voraus. Das Datenschutzrecht steht vor einem Paradigmenwechsel, auch wenn das noch nicht alle erkannt haben und viele auch nicht wahr haben wollen.

    Update:
    Der Kollege Niko Härting erläutert in einem Beitrag für die Zeitschrift Computer & Recht (CR), warum er die Vorgehensweise des ULD gar für verfassungswidrig hält. Härting sieht in der primär Unternehmen treffenden Aufforderung, Fanseiten bei Facebook zu löschen, einen Eingriff in die Berufsfreiheit. Dieser Diskussionsbeitrag verdient in jedem Fall ergänzende Erwähnung.

    Und was beim Kollegen Härting auch anklingt, hat der Kollege Strunk ausführlich dargestellt, nämlich, dass die Bußgeldandrohnung des ULD, soweit sie sich auf einen Verstoß gegen das TMG stützt, mangels Zuständigkeit rechtswidrig ist.

    posted by Stadler at 10:15  

    16.8.11

    Gesetzesentwurf zur Änderung des TMG offenbar nicht mehrheitsfähig

    Seit einigen Wochen wird über einen vom Bundesrat bereits beschlossenen Gesetezsentwurf zur Änderung des Telemediengesetzes diskutiert.

    Nach dem Willen der Bundesländer sollen damit u.a. die E-Privacy-Richtlinie, gerne auch Cookie-Richtlinie genannt, umgesetzt werden, sowie mit einem neuen §13a TMG strengere Datenschutzregelungen für soziale Netzwerke etabliert werden. In den Medien kolportiert wurde auch die Aussage, dass geplant sei, die Nutzung sozialer Netzwerke erst ab 16 zu erlauben.

    Für diese Regelungen zeichnet sich, zumindest in dieser Form, keine Mehrheit im Bundestag ab. In der Stellungnahme der Bundesregierung (am Ende des Dokuments ab S. 13) wird der Gestzesvorschlag in den zentralen Punkten abgelehnt. Zu der geplanten Regelung des § 13 Abs. 8 TMG, in der es um die Cookie-Thematik geht, hat die Bundesregierung eigene Vorschläge im Rahmen der laufenden TKG-Novellierung angekündigt. Was die datenschutzrechtlichen Aspekte anbelangt, möchte die Bundesregierung zunächst nach Lösungen auf europäischer Ebene suchen.

    posted by Stadler at 14:29  

    11.8.11

    IVW-Tracking-Tool doch nicht datenschutzkonform?

    Vor drei Tagen habe ich darüber berichtet, dass der Hamburgische Datenschutzbeauftragte in einer Pressemitteilung verkündet hat, dass das Tracking-Tool der Fa. INFOnline GmbH, das u.a. von der IVW für ihre Reichweitenmessung eingesetzt wird, nunmehr datenschutzkonform sei.

    Kris Köhntopp hat diese Aussage aus technischer Sicht unter die Lupe genommen und erläutert anschaulich, warum eine Verbesserung des Datenschutzniveaus gerade nicht erreicht worden ist. Denn das Tracking des IVW basiert auf dem Einsatz von Cookies, wobei nach Ansicht Köhntopps im konkreten Fall mehr Daten erhoben werden als für die statistischen Zwecke der IVW notwendig.

    Auf Google+ hatte zuvor bereits Jürgen Kuri von der c’t darauf hingewiesen, dass das IVW-Zählverfahren offensichtlich dadurch datenschutzkonform gemacht wird, dass eine Opt-out-Möglichkeit eingeführt wird, die wiederum ein permamentes Cookie setzt. Denn durch dieses Cookie erkennt die IVW, dass man nicht gezählt werden möchte.

    Das ist aus datenschutzrechtlicher Sicht gänzlich widersinnig, um nicht zu sagen absurd und verdeutlicht einmal mehr, dass der Datenschutz in seiner bisherigen Form im Netz schlecht bis gar nicht funktioniert. Und ein Landesdatenschutzbeauftragter bejubelt den zusätzlichen Einsatz von Cookies als Durchbruch für den Datenschutz.

    Mir stellt sich hier dann aber auch die Frage, wie die Anbieter solcher Tools reagieren werden, wenn dieses Gesetzgebungsvorhaben tatsächlich das Ende der Cookies ohne Einwilligung einläutet? Was dann Herr Caspar?

    Wann kommt der längst überfällige Reality-Check im Datenschutzrecht?

    posted by Stadler at 21:53  

    11.7.11

    Cookies oder Pop-Up-Gewitter?

    Über das mögliche Ende der Cookies durch eine neue Vorschrift im TMG, die im Zuge der Umsetzung der Datenschutzrichtlinie für elektronische Kommunikation geschaffen werden soll, hatte ich kürzlich berichtet.

    Wie das mit dem Pop-Up-Gewitter in der praktischen Umsetzung aussehen würde, zeigt das Blog von David Naylor sehr anschaulich. Vielleicht kann man es sich ja so besser vorstellen.

    posted by Stadler at 10:10  

    8.7.11

    Das Ende der Cookies

    Bereits vor einigen Wochen hatte ich auf die geplante Vorschrift des § 13 Abs. 8 TMG hingewiesen, die sich derzeit im Gesetzgebungsverfahren befindet und vom Bundesrat bereits beschlossen wurde. Obwohl die Vorschrift äußerst brisant ist, blieb eine größere Resonanz damals aus, was an der Überschrift meines Beitrags gelegen haben mag. Jens Ferner befasst sich in seinem Blog nunmehr ebenfalls mit dem Thema.

    Die Vorschrift, die in einem Entwurf zur Änderung von Vorschriften des Telemediengesetzes enthalten ist, bedeutet für Deutschland nichts weniger als das Ende von Cookies, wenn man den User nicht alternativ mit einem Pop-Up-Gewitter behelligen will. Die geplante Vorschrift lautet:

    Die Speicherung von Daten im Endgerät des Nutzers und der Zugriff auf Daten, die im Endgerät des Nutzers gespeichert sind, sind nur zulässig, wenn der Nutzer darüber entsprechend Absatz 1 unterrichtet worden ist und er hierin eingewilligt hat. Dies gilt nicht, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, um einen vom Nutzer ausdrücklich gewünschten elektronischen Informations- oder Kommunikationsdienst zur Verfügung stellen zu können.

    Diese Vorschrift reicht nach ihrem Wortlaut freilich weit über Cookies hinaus und erfasst alles, was auf dem Endgerät des Nutzers (also PC, Notebook, Smartphone, iPad etc.) gespeichert wird. Für mich klingt das wieder einmal nach einer Vorschrift, die in der Praxis auf breite Missachtung stoßen wird, weil sonst verschiedenste Dinge nicht mehr wie gehabt funktionieren werden.

    posted by Stadler at 10:13  

    17.6.11

    Der Ausschuss für Agrarpolitikpolitik und Verbraucherschutz empfiehlt

    Es kommt wohl nicht von ungefähr, dass Netzpolitik bzw. die dazugehörige Gesetzgebung in Deutschland von Ausschüssen für Agrarpolitik und Verbraucherschutz bestimmt wird. Die vom Bundesrat auf Vorschlag des besagten Ausschusses bereits beschlossenen Änderungen des Telemediengesetzes bewirken das prinzipielle Ende von Cookies oder wahlweise neue Pop-Up-Gewitter (§ 13 Abs. 8 TMG neu).

    Nach dem geplanten §13a TMG sollen die Anbieter, insbesondere sozialer Netze, verpflichtet werden, die Voreinstellungen auf die “höchste Sicherheitsstufe gemäß dem Stand der Technik” zu setzen. Was von dieser geplanten Neuregelung zu halten ist, habe ich bereits vor einiger Zeit erläutert.

    posted by Stadler at 17:32  
    Nächste Seite »